Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
septiembre
(Total:
72
)
- Disponible Parrot 5.1 con Linux 5.18 y AnonSurf 4.0
- Guía de de compra cable HDMI
- Vulnerabilidades de alta gravedad en servidor nomb...
- Actualización de seguridad crítica para WhatsApp e...
- Roban 160 millones de dólares de la agencia de cri...
- La policía de Londres detiene a Arion, joven autis...
- Rusia amenaza con ciberataques a infraestructuras ...
- Proton Drive, la nueva nube privada de Proton
- Grupo Guacamaya filtra 366 GB de correos electróni...
- Google Fotos estropea fotos antiguas almacenadas e...
- Putin otorga la ciudadanía rusa a Edward Snowden
- Rusia cambia Windows por Linux en todas las admini...
- "Empleado" enfadado filtra el cifrador del ransomw...
- Hackean el sistema de soporte al cliente de empres...
- Policía Nacional España usará el software israelí ...
- Estudio demuestra que el botón 'No me gusta' de Yo...
- nVidia presenta oficialmente las nuevas gráficas G...
- Multa de 35M$ para Morgan Stanley por subastar dis...
- Una pareja de Vietnam acabó hackeando una de las m...
- Alertan de nuevos ataques PsExec usando SMB en el ...
- Navegadores Chrome y Edge envían a la nube lo que ...
- La empresa de tecnología financiera Revolut tambié...
- Hackean RockStar y roban el código fuente de GTA V...
- Grave vulnerabilidad en el complemento premium WPG...
- Ladybird, un nuevo navegador web de código abierto...
- Adobe compra la empresa de software de diseño Figm...
- Mozilla, DuckDuckGo, Proton o Brave respaldan AICO...
- Adiós al minado de Ethereum con GPU's de tarjetas ...
- DDoS: Mitigando denegación de servicio con IPtables
- HP pagará hasta 96€ si tienes una de estas impreso...
- Uber es hackeada por un joven de 18 años por diver...
- La Policía Española desarticula una banda de phish...
- Se confirma que los SSD ya son más fiables que los...
- Ataques de ransomware utilizan como vector de ataq...
- Grupos de ransomware de Irán utilizan el cifrado B...
- Europa confirma la multa histórica a Google de 4.1...
- Diferentes técnicas de cifrado de archivos utiliza...
- Alerta de ataques Phishing contra cuentas Steam us...
- Utilizan una Raspberry Pi 4 para detectar la activ...
- Siguen aprovechando el permiso de accesibilidad pa...
- Apple publica de nuevo actualizaciones de emergenc...
- Un malware para Linux secuestra dispositivos IoT p...
- nmap, el escáner de puertos más popular, cumple 25...
- Comprometidos 200 mil usuarios de TheNorthFace que...
- El jefe de una empresa china de gaming es un robot...
- Albania expulsa a diplomáticos iraníes tras el cib...
- Venden documentos clasificados de la OTAN robados ...
- Estados Unidos incauta 30 millones dólares en crip...
- El sistema de vigilancia a gran escala de la UE po...
- Routers D-Link afectados por una variante de la Mi...
- Nueva nomenclatura de AMD para portátiles con CPU ...
- Grave vulnerabilidad en varios modelos NAS de Zyxel
- Apple presenta oficialmente el iPhone 14 y los nue...
- La cadena de hoteles InterContinental víctima de u...
- Ucranianos usaron perfiles falsos de mujeres para ...
- Los videojuegos más utilizados para infectar con m...
- Detectada nueva campaña de ransomware DeadBolt en ...
- El Canon Digital aumentará el precio de los teléfo...
- Actualizaciones de emergencia de Apple para modelo...
- Navegadores para Android que respetan la privacidad
- Multa de 405 millones € a Instagram por violación ...
- Unión Europea quiere 5 años de actualizaciones And...
- Hackean TikTok - WeChat y roban los datos de más d...
- Samsung fue hackeada en julio y robaron datos pers...
- Un comando equivocado liquidó una compañía de crip...
- Anonymous provoca un atasco masivo de taxis en Moscú
- Chile víctima de un ataque de un grupo de ransomware
- USB 4 promete velocidades de hasta 80 Gbps
- Se compra un casa por un error de Crypto.com: le d...
- La Policía de Chicago alerta por robo de coches Hy...
- Google pagará dinero por encontrar vulnerabilidade...
- Japón se prepara para abandonar el uso del disquet...
-
▼
septiembre
(Total:
72
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Arm Holdings Plc es una empresa británica dedicada al diseño de software y semiconductores . Con sede en Cambridge, Reino Unido, tiene una ...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Alertan de nuevos ataques PsExec usando SMB en el puerto 135, en vez del 445 TCP
La compañía Israelí Pentera publicó un informe de seguridad en el que muestra el desarrollo de una nueva implementación para la utilidad PsExec, dicha implementación permite moverse lateralmente en una red utilizando el puerto 135/TCP en vez del tradicional puerto 445/TCP de Windows, un puerto menos vigilado.
PsExec está diseñado para ayudar a los administradores a ejecutar procesos de forma remota en las máquinas de la red sin necesidad de instalar software adicional.
Las diferentes implementaciones de PsExec como la que utiliza Impacket, son de sobra conocidas por los atacantes y las utilizan de forma frecuente en las etapas posteriores a la explotación de un ataque, para propagarse en la red, ejecutar comandos en múltiples sistemas o desplegar malware.
¿Cómo funciona PsExec?
PsExec normalmente utiliza el protocolo SMB para ejecutarse, y la mayoría de las veces se ejecuta en el puerto 445. Requiere SMB para enumerar los recursos compartidos en los cuales se tenga permisos de escritura, posteriormente puede utilizar uno de los recursos compartidos con permisos de escritura para cargar un ejecutable en él. La herramienta también utiliza SMB para mostrar al usuario la respuesta de los comandos.
PsExec requiere tres parámetros para ejecutarse: nombre del ordenador, credenciales de usuario y un comando. Como hemos comentado anteriormente PsExec no requiere ninguna instalación; todo lo que necesita para funcionar es que esté habilitado el uso compartido de archivos e impresoras de Windows en la máquina remota, así como un directorio/carpeta compartida disponible con permisos de escritura para las credenciales del usuario empleado.
Tanto la versión original como la variante de Impacket funcionan de forma similar. Utilizan una conexión SMB y se basan en el puerto 445, que debe estar abierto para comunicarse a través del protocolo de intercambio de archivos de red SMB.
Las llamadas a procedimientos remotos (RPC) es un protocolo que proporciona una comunicación de alto nivel con el sistema operativo. Se basan en la existencia de un protocolo de transporte, como TCP o SMB, para hacer llegar los mensajes entre las aplicaciones/servicios que se quieren comunicar. RPC implementa muchas funciones que pueden ayudar a un usuario a crear, gestionar y ejecutar servicios en el sistema operativo.
Nueva Implementación de PsExec
Pentera pudo construir una implementación de PsExec basada únicamente en el puerto 135, utilizando las librerías de Impacket. Esta implementación también utiliza una conexión SMB y se basa en el puerto 445. Utiliza métodos DCE/RPC como el SVCCTL, que se utiliza para gestionar los servicios de Windows a través del SCM (Service Control Manager)
Pentera descubrió que el protocolo SMB se utiliza para cargar el ejecutable, reenviar la entrada y la salida. Los comandos se ejecutan utilizando llamadas DCE/RPC, y los procesos se ejecutan independientemente de la salida.
La nueva implementación del PsExec de Pentera hace uso de llamadas RPC para poder crear un servicio que ejecute un comando de su elección, e iniciar el servicio, sin el uso del puerto 445. Esta implementación no muestra una salida de ejecución.
Fuente: Pentera Labs
Conclusiones
Cuando tratamos de protegernos de este tipo de movimientos laterales, la mayoría de las veces solemos centrarnos en el puerto 445 como la «fuente de todos los males». Sin embargo, a veces olvidamos que el puerto 135 también puede ejecutar SMB.
Hay que tener en cuenta que SMB no es el único protocolo explotable. DCE/RPC, como se ha comentado anteriormente, es un protocolo mucho más valioso para los atacantes en comparación con SMB, y sin embargo muchas veces se pasa por alto y/o no se vigila adecuadamente.
Fuente:
https://unaaldia.hispasec.com/2022/09/psexec-nueva-implementacion-sobre-el-puerto-135.html
Referencias:
- Sysinternals: https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
- Impacket: https://github.com/SecureAuthCorp/impacket
- Pentera: https://pentera.io/blog/135-is-the-new-145/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.